Сегодня пользователи EasyFinance.ru получили на email сообщение о взломе системы. В качестве доказательства злоумышленники прикладывают список пользователей с указанием первой части email адресов (до собачки) и названий кошельков в системе. Сам факт письма на электропочту, известную только EasyFinance, говорит о том, что у сервиса существуют проблемы с конфиденциальностью данных пользователей.
Главное требование взломщиков — это полное закрытие сервиса. Однако мотивация этого требования не совсем понятна. Текст письма больше похож на крик уволенного или просто обиженного сотрудника компании. Если это и вправду так, то возможно этот сотрудник имеет доступ к данным пользователей и сейчас ими шантажирует владельцев сервиса.
Эти бесчисленные парадигмы, концепции, инструменты и фреймворки
Мое мировоззрение, как программиста, сформировалось еще во времена консольных приложений и текстовых пользовательских интерфейсов, на смену им пришли графические оконные GUI, а сейчас я наблюдаю уже третий виток технологий, связанный с глобальной сетью. Каждый раз, конечно же, приходилось менять не только любимый язык программирования, но и весь технологический стек, с наработками, заготовками и достаточно обширными библиотеками, кои сейчас гордо зовутся фреймворками. Резать приходилось по живому, нещадно и решительно.
В последнее время веб-браузер стал почти синонимом пользовательского интерфейса, и ни у кого уже не возникает сомнений, что традиционные оконные приложения, устанавливаемые в персональный компьютер, уже отходят в историю. Хоть за ними и останется небольшой процент ПО, но и за консольными приложениями он ведь тоже остался навсегда.
Наблюдая за становлением третьего, на моей памяти, поколения технологий и специалистов, могу отметить, что повторяются как “велосипеды”, так и “грабли”. Именно поэтому, я не мог не написать этой статьи. Имея большой соблазн, спуститься в самую конкретику и разобрать по винтикам несколько современных языков и технологий, их связки и особенности стыковки, но оставим это для других статей и сконцентрируемся на принципах, остающихся неизменными во всех инкарнациях информационных систем. Каждый из принципов я поясню на нескольких примерах, уже привязанных к вебу.
Команда dd и все, что с ней связано
В UNIX системах есть одна очень древняя команда, которая называется dd. Она предназначена для того, чтобы что-то куда-то копировать побайтово. На первый взгляд — ничего выдающегося, но если рассмотреть все возможности этого универсального инструмента, то можно выполнять довольно сложные операции без привлечения дополнительного ПО, например: выполнять резервную копию MBR, создавать дампы данных с различных накопителей, зеркалировать носители информации, восстанавливать из резервной копии данные на носители и многое другое, а, при совмещении возможностей dd и поддержке криптографических алгоритмов ядра Linux, можно даже создавать зашифрованные файлы, содержащие в себе целую файловую систему.
Опять же, в заметке я опишу самые часто используемые примеры использования команды, которые очень облегчают работу в UNIX системах.
Начну с небольшого примера, наглядно иллюстрирующего основные параметры команды:
# dd if=/dev/urandom of=/dev/null bs=100M count=5
Параметры:
- if: указывает на источник, т.е. на то, откуда копируем. Указывается файл, который может быть как обычным файлом, так и файлом устройства.
- of: указывает на файл назначения. То же самое, писать можем как в обычный файл, так и напрямую в устройство.
- bs: количество байт, которые будут записаны за раз. Можно представлять этот аргумент как размер куска данные, которые будут записаны или прочитаны, а количество кусков регулируется уже следующим параметром.
- count: как раз то число, которое указывает: сколько кусочков будет скопировано.
Черные разработчики: уволенные программисты возвращаются… с дьявольским кодом
Программистов увольняют по разным причинам, иногда, весьма странным.
Но в отношении разработчиков важно другое: они могут отплатить своему бывшему работодателю очень серьезно, что вряд ли доступно большинству других профессий. Полно историй про то, как разработчики распространяли вирусы, уничтожали данные, воровали секреты и устраивали различные электронные беспорядки, сразу же после того, как им показывали на дверь.
Пройдемся же по аллее славы светлых разработчиков (или просто компьютершиков с хорошими способностями), которые перешли на темную сторону силы.
Оптимизируем процесс работы в консоли
Все привыкли редактировать текст в текстовых редакторах, блокнотах, веб-формах и т.д. В процессе набора текста мы пользуемся привычными стрелками, кнопками «End» и «Home», более опытные зажимают «Ctrl» и стрелками шагают по словам (что, кстати, не всегда работает). И при переходе на консоль мы ориентируемся на те же самые правила, даже не зная, что bash предлагает очень удобные средства и комбинации клавиш, которые очень упрощают работу и минимизируют количество операций для выполнения задачи. К тому же, в bash есть удобные средства работы с историей, масса различных подстановок и других интересных функций. Самые часто используемые мной и любым опытным администратором я и опишу в этой статье.
Для того, чтобы все, описанное мной, заработало, не нужно ничего до устанавливать, не нужно писать скрипты, конфиги и прочие дополнения: все эти средства работают абсолютно одинаково в большинстве современных интерпретаторах bash, работающих на любой UNIX системе.
Мой педагогический опыт говорит о том, что практика — лучший способ понять, полюбить и привыкнуть к новым функциям, поэтому я не стал рисовать голые таблицы, а сделал повествование, и рекомендую в процессе чтения статьи открыть консоль и пробовать все, чем еще не пользовались, руками.
Anonymous решили наказать Sony за Geohot
Пресловутое преследование хакера Geohot корпорацией Sony осуждают многие — не только коллеги Geohot, но и некоторые компании, обычные граждане, и конечно, группировка Anonymous. Напомню, что Geohot, прежде, чем выложить все свои наработки в открытом доступе, связался с Sony и предлагал безвозмездно помочь в латании «дыр» в ПО игровой консоли PS3, уязвимостей, которые позволили запускать произвольное программное обеспечение (конечно же, для многих это, в первую очередь — «пиратки» игр). Но Sony не обратила внимания на простого смертного. Однако после того, как его наработки стали известны и доступны, Sony начала судебное преследование нашего умельца.
К слову, суд стал на сторону Sony, и вполне может быть, что окончательное судебное решение будет вынесено в пользу корпорации. Стоит отметить, что Sony начала расследование и в отношении иных спецов, причастных к этому делу. В общем, дело обрастает новыми подробностями, соучастниками, и Sony, по всей видимости, собирается наказать всех, хотя и не совсем понятно, за что.
Oracle собирается передать OpenOffice.org сообществу Open Source
Компания Oracle объявила о том, что она собирается передать проект OpenOffice.org сообществу Open Source, а также о прекращении продаж коммерческого Open Office.
“Учитывая масштаб интереса к свободным приложениям для работы, а также быстрое развитие персональных компьютеров, мы полагаем, что будет лучше, если проектом OpenOffice.org будет руководить некоммерческая организация, представляющая интересы широкой аудитории потребителей”, заявил Эдвард Скревен, главный коммерческий архитектор Oracle. “Мы немедленно начнём работать с членами сообщества, чтобы продолжать успех Open Office. Oracle будет по-прежнему решительно поддерживать внедрение открытых стандартов на форматы документов, таких как Open Document Format (ODF)”.
В тексте по ссылке ниже сказано, что компания Oracle имеет долгую историю инвестирования в разработку и поддержку продуктов с открытым исходным кодом. Они собираются продолжать такую практику, особенно для тех продуктов, которые нужны их клиентам, MySQL и ядро Linux. Компания выбирает именно их потому, что именно их выбрали многие коммерческие и государственные клиенты.
//Есть мнение, что на решение оракла повлиял форк опен офиса, и отток разработчиков в libre office
Конец свободному развитию Интернет?
http://community.livejournal.com/ru_root/2229620.html
Последние события в которых с помощью DDoS атак нарушали функционирование ЖЖ навивает грустные мысли. В сети проскочили оценки, что для обеспечения нормального функционирования ЖЖ необходимо увеличить мощность ресурсов в несколько раз, затраты на это мероприятие составят несколько сот тысяч долларов. Хорошо если СУП сможет себе это позволить. В сочетании с отсечением некоторых подсетей и других аналогичных мероприятий затраты на это могут быть сокращены, поэтому будущее ЖЖ лично у меня сомнений не вызывает.
Характерным примером «DDoS» атаки на отдельно стоящий ресурс является история с сайтом Сколково http://www.i-gorod.com/. Вышеозначенный ресурс просто рухнул под наплывом пользователей пришедших с Хабра, желающих посмотреть на это чудо «нано-технологий» ;-). Подробности http://habrahabr.ru/blogs/internet/117202/ Сколково наверное сможет выделить ресурсы на нормальный хостинг, разработчиков, команду для поддержания сайта. За них я то же не переживаю.
Видео высокой чёткости и аппаратное ускорение посредством VDPAU
Видео высокой чёткости
Большинство видео в сети, а также все видеокамеры высокой чёткости используют формат AVCHD (H.264, MPEG-4 Part 10). Он обеспечивает высокую степень сжатия при сохранении высокого качества изображения. Недостатком является высокая требовательность к ресурсам. Так, обеспечить комфортное воспроизведение видеопотока с разрешением 1920×1080 могут только современные высокопроизводительные процессоры.
NVIDIA VDPAU
Для пользователей, имеющих старый компьютер и не желающих покупать новый или использовать видео худшего качества существуют аппаратные решения. Они позволяют обойтись лишь обновлением видеокарты и использованием программного обеспечения, поддерживающего аппаратное ускорение видео. Цена такого решения невысока, но НЕ все видеокарты NVIDIA поддерживают технологию аппаратного ускорения, её версия для Linux называется VDPAU.
Список видеокарт NVIDIA
| Видеокарта | Графический процессор | Набор возможностей VDPAU | Замечания |
|---|---|---|---|
| GeForce FX (5xxx) | NV3x | Не поддерживается | – |
| GeForce 6 (6xxx) | NV4x, C51, C61 | Не поддерживается | – |
| GeForce 7 (7xxx) | G7x, C86 | Не поддерживается | – |
| GeForce 8800 Ultra, 8800 GTX, 8800 GTS (320/640MB) | G80 | Не поддерживается | – |
| GeForce 8300 GS, 8400 GS (старые), 8500 GT, 8600 GT, 8600 GTS; Quadro FX 370, 570, 570M, 1600M, 360M; Quadro NVS 130M, 135M, 140M, 290 | G84, G86 | A | – |
| GeForce 8800 GS, 8800 GT, 8800 GTS (512MB/1GB), 9400 GT, 9500 GT, 9600 GSO, 9600 GT, 9800 GT, 9800 GTX, 9800 GTX+, 9800 GX2; GeForce GT 120, GT 130, GTS 150, GTS 150M, GTS 160M, GTS 250, GTX 260M, GTX 280M | G92, G94, G96 | A | – |
| GeForce GTX 260, GTX 260 Core 216, GTX 275, GTX 280, GTX 285, GTX 295; Quadro FX 770M, 1700, 2700M, 3600M, 3700, 4800, 5800; Quadro NVS 320M | GT200 | A | – |
| GeForce 8400 GS (новые), 9300 GS, 9300 GE; GeForce G 100; Quadro FX 370 LP, 470; Quadro NVS 150M, 160M, 295, 420, 450 | G98 | B | – |
| GeForce 8100, 8200, 8200M, 8300, 9100M, 9200M GS, 9300M GS, 9400M G, 9500M GS, 9600M GS, 9650M GT, 9700M GT, 9700M GTS, 9800M GTS, 9800M GT, 9800M GTX; ION, ION-LE | C77, C79, NB9 | B | – |
| GeForce G 205, G 210, G 210M, GT 220, GT 230M, GT 240M, GT 240, GTS 250M, GTS 260M, 310 | GT215, GT216, GT218 | C | Первое поколение с поддержкой MPEG-4 ASP (MPEG-4 Part 2) |
Перехват HTTPS – трафика
Однажды встретился на просторах интернета один клиент-серверный продукт название которого я приводить пока не буду, назовём его просто «продукт TH». Работал он по технологии похожей на Free2Play, но бесплатно предоставлял дай бог 10% от своего функционала, остальные плюшки только по платной подписке. Какое время (год или около того) я смиренно ждал решения со стороны, но в конце концов любопытство оказалось сильнее лени и я засел за более глубокое изучение этого продукта.
TH — дитя тотальной вебдванольности, клиентская часть в отдельности не представляет никакого интереса, весь цимес находится на серверной стороне в виде среднеразвитой социальной сети, форума и магазина. Всю информацию о наличии/отсутствии плюшек клиент получает оттуда же, остаётся только взять её, изучить содержание и изменить по потребностям. Сразу оговорюсь, конечной целью не было создание т.н. «локального сервера» или клона коммерческого сайта с целью извлечения прибыли, причиной был зуд в известном месте и обычное детское «а что там внутри».
А внутри оказалось, что общение клиента с сервером проходит через HTTPS-канал. Поэтому если ваше любопытство в этой области совпадает с моим, то ниже рассказ о довольно запутанном для новичка в этой области, но успешно раскрытом вопросе.